使用此 XML Feed 可订阅 Anthos Service Mesh 安全公告。
本页面列出了适用于 Anthos Service Mesh 的安全公告。
GCP-2024-007
发布日期:2024-02-08
说明 | 严重级别 | Notes |
---|---|---|
当处于空闲状态且每次尝试的请求数在退避间隔内发生时,Envoy 会崩溃。 该怎么做?如果您运行的是代管式 Anthos Service Mesh,则无需执行任何操作。您的系统将在未来几天内自动更新。 如果您在集群内运行 Anthos Service Mesh,则必须将集群升级到以下修补后的版本之一:
如果您使用的是 Anthos Service Mesh v1.17 或更早版本,您的版本已终止服务,不再受支持。虽然这些 CVE 修复已向后移植到 1.17,但您应该升级到 1.18 或更高版本。 |
高 |
说明 | 严重级别 | Notes |
---|---|---|
使用正则表达式配置 URI 模板匹配器时,CPU 使用率过高。 该怎么做?如果您运行的是代管式 Anthos Service Mesh,则无需执行任何操作。您的系统将在未来几天内自动更新。 如果您在集群内运行 Anthos Service Mesh,则必须将集群升级到以下修补后的版本之一:
如果您使用的是 Anthos Service Mesh v1.17 或更早版本,您的版本已终止服务,不再受支持。虽然这些 CVE 修复已向后移植到 1.17,但您应该升级到 1.18 或更高版本。 |
中 |
说明 | 严重级别 | Notes |
---|---|---|
当代理协议过滤器设置无效的 UTF-8 元数据时,可以绕过外部授权。 该怎么做?如果您运行的是代管式 Anthos Service Mesh,则无需执行任何操作。您的系统将在未来几天内自动更新。 如果您在集群内运行 Anthos Service Mesh,则必须将集群升级到以下修补后的版本之一:
如果您使用的是 Anthos Service Mesh v1.17 或更早版本,您的版本已终止服务,不再受支持。虽然这些 CVE 修复已向后移植到 1.17,但您应该升级到 1.18 或更高版本。 |
高 |
说明 | 严重级别 | Notes |
---|---|---|
使用操作系统不支持的地址类型时,Envoy 发生崩溃。 该怎么做?如果您运行的是代管式 Anthos Service Mesh,则无需执行任何操作。您的系统将在未来几天内自动更新。 如果您在集群内运行 Anthos Service Mesh,则必须将集群升级到以下修补后的版本之一:
如果您使用的是 Anthos Service Mesh v1.17 或更早版本,您的版本已终止服务,不再受支持。虽然这些 CVE 修复已向后移植到 1.17,但您应该升级到 1.18 或更高版本。 |
高 |
说明 | 严重级别 | Notes |
---|---|---|
命令类型为 该怎么做?如果您运行的是代管式 Anthos Service Mesh,则无需执行任何操作。您的系统将在未来几天内自动更新。 如果您在集群内运行 Anthos Service Mesh,则必须将集群升级到以下修补后的版本之一:
如果您使用的是 Anthos Service Mesh v1.17 或更早版本,您的版本已终止服务,不再受支持。虽然这些 CVE 修复已向后移植到 1.17,但您应该升级到 1.18 或更高版本。 |
高 |
GCP-2023-031
发布日期:2023-10-10
说明 | 严重级别 | Notes |
---|---|---|
使用 HTTP/2 协议时,拒绝服务攻击可能会影响数据平面。 该怎么做?检查您的集群是否会受到影响如果您的集群使用 1.18.4、1.17.7 或 1.16.7 之前的 Anthos Service Mesh 补丁版本,则会受到上述影响。 应对措施将集群升级到以下某个修补后的版本:
如果您运行的是代管式 Anthos Service Mesh,您的系统将在接下来的几天内自动更新。 如果您使用的是 Anthos Service Mesh v1.15 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 v1.16 或更高版本。 |
高 |
GCP-2023-021
Updated:2023-07-26
发布日期:2022-07-25说明 | 严重级别 | Notes |
---|---|---|
在某些特定场景中,恶意客户端能够构建永久有效的凭据。例如,HMAC 载荷中主机和到期时间的组合在 OAuth2 过滤器的 HMAC 检查中可以始终有效。 该怎么做?检查您的集群是否会受到影响如果集群使用以下版本之前的 Anthos Service Mesh 补丁版本,则会受到影响
将集群升级到以下某个修补后的版本:
如果您运行的是代管式 Anthos Service Mesh,您的系统将在未来几天内自动更新。 如果您使用的是 Anthos Service Mesh 1.14 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。 |
高 |
说明 | 严重级别 | Notes |
---|---|---|
当监听器排空时,使用监听器的全局范围的 gRPC 访问日志记录器可能导致 use-after-free 崩溃。这可由具有相同 gRPC 访问日志配置的 LDS 更新触发。 该怎么做?检查您的集群是否会受到影响如果集群使用以下版本之前的 Anthos Service Mesh 补丁版本,则会受到影响
将集群升级到以下某个修补后的版本:
如果您运行的是代管式 Anthos Service Mesh,您的系统将在未来几天内自动更新。 如果您使用的是 Anthos Service Mesh 1.14 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。 |
中 |
说明 | 严重级别 | Notes |
---|---|---|
如果 该怎么做?检查您的集群是否会受到影响如果集群使用以下版本之前的 Anthos Service Mesh 补丁版本,则会受到影响
将集群升级到以下某个修补后的版本:
如果您运行的是代管式 Anthos Service Mesh,您的系统将在未来几天内自动更新。 如果您使用的是 Anthos Service Mesh 1.14 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。 |
中 |
说明 | 严重级别 | Notes |
---|---|---|
攻击者可以发送具有大小写混合的传输协议的请求,以绕过 Envoy 中的某些传输协议检查。例如,如果向 OAuth2 过滤器发送具有大小写混合的传输协议 htTp 的请求,它将无法通过 http 的完全匹配检查,并通知远程端点传输协议为 https,从而可能绕过专门针对 HTTP 请求的 OAuth2 检查。 该怎么做?检查您的集群是否会受到影响如果集群使用以下版本之前的 Anthos Service Mesh 补丁版本,则会受到影响
将集群升级到以下某个修补后的版本:
如果您运行的是代管式 Anthos Service Mesh,您的系统将在未来几天内自动更新。 如果您使用的是 Anthos Service Mesh 1.14 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。 |
高 |
GCP-2023-019
说明 | 严重级别 | Notes |
---|---|---|
来自不受信任的上行服务的专门设计的响应可能会通过耗尽内存引发拒绝服务攻击。造成此问题的原因是 Envoy 的 HTTP/2 编解码器在从上行服务器收到 RST_STREAM 之后立即收到 GOAWAY 帧时可能泄露标头映射和簿记结构。 该怎么做?检查您的集群是否会受到影响如果集群使用以下版本之前的 Anthos Service Mesh 补丁版本,则会受到影响
将集群升级到以下某个修补后的版本:
如果您运行的是代管式 Anthos Service Mesh,您的系统将在未来几天内自动更新。 如果您使用的是 Anthos Service Mesh 1.14 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 ASM 1.15 或更高版本。 |
高 |
GCP-2023-002
说明 | 严重级别 | Notes |
---|---|---|
如果 Envoy 在启用 OAuth 过滤器的情况下运行,恶意行为体可能会构造请求,通过使 Envoy 崩溃而形成拒绝服务攻击。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Anthos Service Mesh 补丁版本早于以下版本,则会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.13 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.14 或更高版本。 |
中 |
说明 | 严重级别 | Notes |
---|---|---|
使用 ext_authz 时,攻击者可以利用此漏洞绕过身份验证检查。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Anthos Service Mesh 补丁版本早于以下版本,则会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.13 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.14 或更高版本。 |
中等 |
说明 | 严重级别 | Notes |
---|---|---|
Envoy 配置还必须包含一个选项,用于添加使用请求中的输入生成的请求标头,例如对等证书 SAN。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Anthos Service Mesh 补丁版本早于以下版本,则会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.13 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.14 或更高版本。 |
高 |
说明 | 严重级别 | Notes |
---|---|---|
攻击者可能针对启用 Lua 过滤器的路由发送大型请求正文并触发崩溃。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Anthos Service Mesh 补丁版本早于以下版本,则会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.13 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.14 或更高版本。 |
中等 |
说明 | 严重级别 | Notes |
---|---|---|
攻击者可能发送特别设计的 HTTP/2 或 HTTP/3 请求,从而触发 HTTP/1 上游服务的解析错误。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Anthos Service Mesh 补丁版本早于以下版本,则会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.13 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.14 或更高版本。 |
中 |
说明 | 严重级别 | Notes |
---|---|---|
标头 x-envoy-original-path 应该是内部标头,但当请求从不受信任的客户端发出时,Envoy 不会在请求处理开始时从请求中移除此标头。 该怎么做?检查您的集群是否会受到影响如果您的集群使用的 Anthos Service Mesh 补丁版本早于以下版本,则会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.13 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.14 或更高版本。 |
高 |
GCP-2022-020
发布日期:2022-10-05更新日期:2022-10-12
2022-10-12 更新:更新了指向 CVE 说明的链接,并添加了关于代管式 Anthos Service Mesh 自动更新的信息。
说明 | 严重级别 | 备注 |
---|---|---|
Istio 控制平面 该怎么做?检查您的集群是否会受到影响如果您的集群使用 1.14.4、1.13.8 或 1.12.9 之前的 Anthos Service Mesh 补丁版本,则会受到上述影响。 应对措施如果您运行的是独立 Anthos Service Mesh,请将集群升级到以下经过修补的版本之一:
如果您运行的是代管式 Anthos Service Mesh,您的系统将在未来几天内自动更新。 如果您使用的是 Anthos Service Mesh v1.11 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.12 或更高版本。 |
高 |
GCP-2022-015
发布日期:2022-06-09更新日期:2022-06-10
2022-06-10 更新:更新了 Anthos Service Mesh 的补丁程序版本。
说明 | 严重级别 | Notes |
---|---|---|
启用元数据交换和统计扩展程序后,Istio 数据平面可能会以不安全的方式访问内存。 该怎么做?检查您的集群是否会受到影响如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Anthos Service Mesh 补丁版本,则会受到影响。 Anthos Service Mesh 缓解措施将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.10 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.11 或更高版本。如需了解详情,请参阅从早期版本升级 (GKE) 或从早期版本升级(本地)。 |
高 |
说明 | 严重级别 | 备注 |
---|---|---|
如果恶意攻击者传递了高度压缩的小型载荷(也称为 zip 炸弹攻击),则数据可能会超过中间缓冲区限制。 该怎么做?检查您的集群是否会受到影响如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Anthos Service Mesh 补丁版本,则会受到影响。 尽管 Anthos Service Mesh 不支持 Envoy 过滤条件,但如果您使用解压缩过滤条件,则可能会受到影响。 Anthos Service Mesh 缓解措施将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.10 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.11 或更高版本。如需了解详情,请参阅从早期版本升级 (GKE) 或从早期版本升级(本地)。 Envoy 缓解措施管理自己的 Envoy 的 Envoy 用户应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。 运行代管式 Envoy 的用户无需执行任何操作(Google Cloud 提供 Envoy 二进制文件),Cloud 产品将改用 1.22.1 版。 |
高 |
说明 | 严重级别 | Notes |
---|---|---|
该怎么做?检查您的集群是否会受到影响如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Anthos Service Mesh 补丁版本,则会受到影响。 Anthos Service Mesh 缓解措施将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.10 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.11 或更高版本。如需了解详情,请参阅从早期版本升级 (GKE) 或从早期版本升级(本地)。 Envoy 缓解措施管理自己的 Envoy 的 Envoy 用户应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。 运行代管式 Envoy 的用户无需执行任何操作(Google Cloud 提供 Envoy 二进制文件),Cloud 产品将改用 1.22.1 版。 |
中 |
说明 | 严重级别 | Notes |
---|---|---|
OAuth 过滤条件允许普通绕过。 该怎么做?检查您的集群是否会受到影响如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Anthos Service Mesh 补丁版本,则会受到影响。 尽管 Anthos Service Mesh 不支持 Envoy 过滤条件,但如果您使用 OAuth 过滤条件,则可能会受影响。 Anthos Service Mesh 缓解措施将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.10 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.11 或更高版本。如需了解详情,请参阅从早期版本升级 (GKE) 或从早期版本升级(本地)。 Envoy 缓解措施管理自己的 Envoy 的 Envoy 用户也使用 OAuth 过滤条件,应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。 运行代管式 Envoy 的用户无需执行任何操作(Google Cloud 提供 Envoy 二进制文件),Cloud 产品将改用 1.22.1 版。 |
严重 |
说明 | 严重级别 | Notes |
---|---|---|
OAuth 过滤条件可能会损坏内存(较低版本)或触发 ASSERT()(更高版本)。 该怎么做?检查您的集群是否会受到影响如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Anthos Service Mesh 补丁版本,则会受到影响。 尽管 Anthos Service Mesh 不支持 Envoy 过滤条件,但如果您使用 OAuth 过滤条件,则可能会受影响。 Anthos Service Mesh 缓解措施将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.10 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.11 或更高版本。 Envoy 缓解措施管理自己的 Envoy 的 Envoy 用户也使用 OAuth 过滤条件,应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。 运行代管式 Envoy 的用户无需执行任何操作(Google Cloud 提供 Envoy 二进制文件),Cloud 产品将改用 1.22.1 版。 |
高 |
说明 | 严重级别 | Notes |
---|---|---|
包含正文或尾部的请求的内部重定向会崩溃。 该怎么做?检查您的集群是否会受到影响如果您的集群使用低于 1.13.4-asm.4、1.12.7-asm.2 或 1.11.8-asm.4 的 Anthos Service Mesh 补丁版本,则会受到影响。 Anthos Service Mesh 缓解措施将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.10 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.11 或更高版本。如需了解详情,请参阅从早期版本升级 (GKE) 或从早期版本升级(本地)。 Envoy 缓解措施管理自己的 Envoy 的 Envoy 用户应确保使用 Envoy 1.22.1 版。管理自己的 Envoy 的 Envoy 用户从 GitHub 等来源构建二进制文件并进行部署。 运行代管式 Envoy 的用户无需执行任何操作(Google Cloud 提供 Envoy 二进制文件),Cloud 产品将改用 1.22.1 版。 |
高 |
GCP-2022-010
发布日期:2022 年 3 月 10 日更新日期:2022 年 3 月 16 日
说明 | 严重级别 | Notes |
---|---|---|
Istio 控制层面 (istiod) 容易出现请求处理错误,从而允许恶意攻击者发送特别设计的消息,当用于验证集群的网络钩子公开提供时,会导致控制层面崩溃。此端点通过 TLS 端口 15017 提供,但不需要攻击者进行任何身份验证。 该怎么做?检查您的集群是否会受到影响所有 Anthos Service Mesh 版本都会受到此 CVE 的影响。 注意:如果您使用的是代管式控制平面,则此漏洞已修复,您不会受到影响。 应对措施将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.10 或更高版本。 |
高 |
GCP-2022-007
发布日期:2022-02-22说明 | 严重级别 | Notes |
---|---|---|
收到包含特别设计的 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
注意:如果您使用的是代管式控制平面,则此漏洞已修复,您不会受到影响。 应对措施将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.10 或更高版本。 |
高 |
说明 | 严重级别 | Notes |
---|---|---|
使用 JWT 过滤条件 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.10 或更高版本。 |
中 |
说明 | 严重级别 | Notes |
---|---|---|
如果响应过滤条件增加响应数据且增加的数据超出下游缓冲区限制,则会发生“释放后使用”。 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.10 或更高版本。 |
中 |
说明 | 严重级别 | Notes |
---|---|---|
通过 HTTP 建立 TCP 隧道时,如果在上游建立连接期间下游断开连接,则会发生“释放后使用”。 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.10 或更高版本。 |
中 |
说明 | 严重级别 | Notes |
---|---|---|
由于配置处理不恰当,导致在验证设置发生更改后无需重新验证便可重新使用 mTLS 会话。 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.10 或更高版本。 |
高 |
说明 | 严重级别 | Notes |
---|---|---|
对具有直接响应条目的路由的内部重定向处理错误。 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.10 或更高版本。 |
高 |
说明 | 严重级别 | Notes |
---|---|---|
通过集群发现服务删除集群时堆栈耗尽。 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
如果您使用的是 Anthos Service Mesh v1.9 或更低版本,则您的版本已达到服务终止期限,不再受支持。这些 CVE 修复尚未反向移植。您应该升级到 Anthos Service Mesh 1.10 或更高版本。 |
中 |
GCP-2021-016
发布日期:2021-08-24说明 | 严重级别 | 备注 |
---|---|---|
Istio 包含一个远程利用漏洞,在该漏洞中,URI 路径中带有片段(URI 末尾以
例如,Istio 授权政策会拒绝发送到 URI 路径 此修复依赖于 Envoy 中的修复,该修复与 CVE-2021-32779 相关联。 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
对于新版本,请求的 URI 的片段部分会在授权和路由之前移除。这样可以防止在其 URI 中包含 Fragment 的请求绕过基于 URI 且没有 Fragment 部分的授权政策。 停用如果您选择停用这种新行为,则 URI 中的片段部分会被保留。如需选择停用,您可以按如下方式配置安装: apiVersion: install.istio.io/v1alpha1 kind: IstioOperator metadata: name: opt-out-fragment-cve-fix namespace: istio-system spec: meshConfig: defaultConfig: proxyMetadata: HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false" 注意:如果选择停用此行为,您的集群将容易受到此 CVE 的影响。 |
高 |
说明 | 严重级别 | Notes |
---|---|---|
Istio 包含的一个远程漏洞,在使用基于
在易受攻击的版本中,Istio 授权政策以区分大小写的方式比较 HTTP 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
此缓解措施可确保 HTTP |
高 |
说明 | 严重级别 | 备注 |
---|---|---|
Envoy 包含一个远程漏洞,当使用 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
|
高 |
说明 | 严重级别 | Notes |
---|---|---|
Envoy 包含一个远程漏洞,该漏洞会影响 Envoy 的 该怎么做?检查您的集群是否会受到影响如果同时满足以下两个条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
|
高 |
说明 | 严重级别 | Notes |
---|---|---|
Envoy 包含一个远程漏洞,利用该漏洞,Envoy 客户端会打开然后重置大量 HTTP/2 请求,可能会导致 CPU 消耗过度。 该怎么做?检查您的集群是否会受到影响如果您的集群使用 1.7.8-asm.10、1.8.6-asm.8、1.9.8-asm.1 和 1.10.4-asm.6 之前的 Anthos Service Mesh 补丁程序版本,则会受到影响。 应对措施将集群升级到以下某个修补后的版本:
注意:如果您使用的是 Anthos Service Mesh 1.8 或更早版本,请升级到 Anthos Service Mesh 1.9 及更高版本的最新补丁程序版本,以缓解此漏洞。 |
高 |
说明 | 严重级别 | Notes |
---|---|---|
Envoy 包含一个远程漏洞,在该漏洞中,不受信任的上游服务可能会导致 Envoy 异常终止,方法是发送 该怎么做?检查您的集群是否会受到影响如果您的集群使用 1.10.4-asm.6 之前的 Anthos Service Mesh 1.10 补丁程序版本,则会受到影响。 应对措施将集群升级到以下补丁程序版本:
|
高 |
GCP-2021-012
发布日期:2021-06-24说明 | 严重级别 | Notes |
---|---|---|
Istio 安全
通常,网关或工作负载部署只能访问存储在其命名空间内 Secret 中的 TLS 证书和私钥。但是, 该怎么做?检查您的集群是否会受到影响如果满足以下所有条件,则您的集群会受到影响:
将集群升级到以下某个修补后的版本:
如果升级不可行,您可以通过停用 istiod 缓存来缓解此漏洞。您可以通过将 istiod 环境变量设置为 PILOT_ENABLE_XDS_CACHE=false 来停用缓存。系统和 istiod 性能可能会受到影响,因为这会停用 XDS 缓存。 |
高 |
GCP-2021-008
发布日期:2021-05-17说明 | 严重级别 | Notes |
---|---|---|
如果网关配置了 AUTO_PASSTHROUG 路由配置,则 Istio 包含一个远程可利用的漏洞,攻击者可以利用该漏洞访问集群中的意外服务。 该怎么做?检查您的集群是否会受到影响此漏洞仅影响 AUTO_PASSTHROUGH 网关类型(通常仅在多网络、多集群部署中使用)。 使用以下命令检测集群中所有网关的 TLS 模式: kubectl get gateways.networking.istio.io -A -o \ "custom-columns=NAMESPACE:.metadata.namespace, \ NAME:.metadata.name,TLS_MODE:.spec.servers[*].tls.mode" 如果输出显示任何 AUTO_PASSTHROUGH 网关,则说明您可能受到了影响。 应对措施将集群更新到最新版 Anthos Service Mesh 版本:
* 注意:Anthos Service Mesh 代管式控制平面(仅在 1.9.x 版本中提供)的发布将在未来几天内完成。 |
高 |
GCP-2021-007
发布日期:2021-05-17说明 | 严重级别 | Notes |
---|---|---|
Istio 包含一个可远程利用的漏洞,在使用基于路径的授权规则时,如果 HTTP 请求包含多个斜杠或转义的斜杠字符(%2F 或 %5C),该请求可以绕过 Istio 授权政策。
如果 Istio 集群管理员定义了授权 DENY 政策来拒绝路径
根据 RFC 3986 标准,带有多个斜杠的路径 该怎么做?检查您的集群是否会受到影响如果您的集群使用“ALLOW 操作 + notPaths 字段”或“DENY 操作 + paths 字段”模式,您的集群会受到此漏洞的影响。这些模式容易受到意外政策绕过攻击,您应该尽快升级以解决安全问题。 下面是一个使用“DENY 操作 + paths 字段”的易受攻击的政策示例: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: deny-path-admin spec: action: DENY rules: - to: - operation: paths: ["/admin"] 以下是使用“ALLOW 操作 + notPaths 字段”格式的易受攻击的政策示例: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: allow-path-not-admin spec: action: ALLOW rules: - to: - operation: notPaths: ["/admin"] 在以下情况下,您的集群不受此漏洞的影响:
对于这些情况,可选择升级。 将集群更新到最新版 Anthos Service Mesh 版本*。以下版本支持在系统中配置具有更多标准化选项的 Envoy 代理:
* 注意:Anthos Service Mesh 代管式控制平面(仅在 1.9.x 版本中提供)的发布将在未来几天内完成。 按照 Istio 安全最佳做法指南配置您的授权政策。 |
高 |
GCP-2021-004
发布日期:2021-05-06说明 | 严重级别 | Notes |
---|---|---|
Envoy 和 Istio 项目最近公布了几个新的安全漏洞(CVE-2021-28682、CVE-2021-28683 和 CVE-2021-29258),攻击者可能会利用这些漏洞导致 Envoy 崩溃,并可能使集群的某些部分脱机且无法访问。 这会影响已交付的服务,例如 Anthos Service Mesh。 该怎么做?如需修复这些漏洞,请将您的 Anthos Service Mesh 软件包升级到以下某个修补版本:
如需了解详情,请参阅 Anthos Service Mesh 版本说明。 |
高 |